Automatización: el siguiente paso natural en la gestión de operaciones de seguridad

He aquí una pregunta para los analistas y gerentes de seguridad: ¿Con qué frecuencia pueden limpiar su bandeja de entrada de correo electrónico, eliminar todas las alertas de todas sus herramientas de monitoreo, actualizar procesos y aún tener tiempo para responder a algunos de esos hallazgos de auditoría pendientes?

La mayoría de los profesionales de seguridad están demasiado ocupados para realizar todas estas tareas en un día cualquiera, y mucho menos para encontrar tiempo para completar proyectos proactivos como mejorar la formación en concienciación sobre seguridad, perfeccionar un programa de gestión de vulnerabilidades o realizar ejercicios de respuesta a incidentes. Simplemente hay demasiado que hacer y no hay tiempo suficiente.

El punto de inflexión para las operaciones de seguridad informática

¿Cómo llegamos a esta situación? Finales de la década de 1980 marcaron un punto de inflexión para las operaciones de seguridad informática, cuando Syslog permitió la centralización y estandarización de los archivos de registro por primera vez. A partir de mediados de la década de 1990 y principios de la década de 2000, la automatización se convirtió en un factor clave en la seguridad informática, a medida que los actores del sector creaban plataformas que centralizaban y estandarizaban automáticamente los registros. En los últimos años, hemos presenciado el auge de las herramientas de identificación y gestión de incidentes, como SIEM y otras soluciones de detección de amenazas que automatizan la revisión, correlación y alerta de registros.

Pero la evolución de la detección avanzada de amenazas es a la vez una ventaja y una desventaja: estas soluciones detectan más amenazas potenciales, pero esas alertas también generan una mayor carga de trabajo para los equipos de seguridad informática. De hecho, un estudio reciente de Damballa, empresa de seguridad especializada en detección de amenazas, reveló que una empresa norteamericana promedio recibe 10 000 alertas al día, una cifra que hace que resolver cada amenaza manualmente sea una solución insostenible.

La evolución continua de la respuesta a las amenazas

Así como la automatización contribuyó a la centralización, la estandarización y la detección, también desempeñará un papel clave en la evolución de la resolución de amenazas. En concreto, la adopción de un Automatización de SecOps Una plataforma que utiliza los procesos estandarizados de una organización para resolver automáticamente tareas de alto volumen y baja complejidad (esencialmente, trabajo administrativo) sin necesidad de intervención humana, libera al personal de seguridad (aproximadamente el 30 % de su tiempo) para abordar amenazas más complejas. Este uso más eficiente de los recursos, logrado mediante la automatización, permitirá a los equipos de seguridad de TI gestionar un volumen aún mayor de amenazas en el futuro.

Además de aumentar las probabilidades de resolver las amenazas más complejas y de alto riesgo, la respuesta automatizada a incidentes puede tener la ventaja adicional de hacer que el trabajo de seguridad informática sea más agradable. Porque la realidad es que no me dediqué a la seguridad para completar un sinfín de tareas administrativas, y estoy seguro de que usted tampoco.